网络工程 - 可以访问 vlan 上的列表吗？ - 吾爱随笔录

可以访问 vlan 上的列表吗？

网络工程思科路由 VLAN 数据包追踪器访问控制

2021-07-18 19:21:12

我有一栋大楼，里面有一些部门，每个部门都有自己的 vlan 和子网。所以现在所有部门都可以互相交流，但我只希望他们中的一些与一些交流。或者希望一些人与一些人交流，但不是相反。我可以使用访问列表来阻止某些 vlan 与其他人交谈，如果可以，我该怎么做？

我需要一些 vlan 与一些 vlan 通信（例如：我希望它（vlan20）可以在任何地方访问，但只有 ceo（vlan10）可以访问它。

Router Running Config - interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 172.16.0.50 255.255.224.0
ip access-group 1 in   
! 
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip address 172.16.32.50 255.255.224.0
ip access-group 1 in
!
interface FastEthernet0/0.3
encapsulation dot1Q 30
ip address 172.16.64.50 255.255.224.0
!
interface FastEthernet0/0.4
encapsulation dot1Q 40
ip address 172.16.96.50 255.255.224.0
!
interface FastEthernet0/0.5
encapsulation dot1Q 50
ip address 172.16.128.50 255.255.224.0


Switch Running Config -
interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport access vlan 30
!
interface FastEthernet0/4
switchport access vlan 40
!
interface FastEthernet0/5
switchport access vlan 50
!
interface FastEthernet0/6
switchport mode trunk

.
.
.
.
interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport access vlan 30
!
interface FastEthernet0/4
switchport access vlan 40
!
interface FastEthernet0/5
switchport access vlan 50
!
interface FastEthernet0/6
switchport mode trunk

1个回答

你没有给我们太多的事情要做。我的示例将专注于 ICMP 回声请求和回复 (ping)，但它允许任何其他流量类型，您将需要推断其他任何内容。

对于标准访问列表，您希望将它们放置在尽可能靠近目的地的位置，以避免无意中阻塞应该允许的流量。您不能对特定类型的流量使用标准访问列表。

对于扩展访问列表，您希望将它们放置在尽可能靠近流量源的位置，以避免路由注定要丢弃的流量而浪费路由器资源。扩展访问列表在流量类型、来源和目的地方面可以非常细化。

访问列表将按顺序处理，一旦匹配，处理将停止。另外，请记住访问列表deny any的末尾有一个隐式，因此您必须明确permit地允许任何内容。

例如，让我们阻止除 VLAN 10 之外的每个 VLAN 向 VLAN 20 发送 ICMP 回显请求：

ip access-list extended BLOCK_ECHO_REQUEST_TO_VLAN20_IN
 remark Block ICMP echo requests to VLAN 20
 deny icmp any 172.16.32.0 0.0.31.255 echo
 remark Permit all other traffic, including ICMP echo reply
 permit ip any any
!
interface FastEthernet0/0.3
 description FINANCA VLAN
 ip access-group BLOCK_ECHO_REQUEST_TO_VLAN20_IN in
!
interface FastEthernet0/0.4
 description ADMIN VLAN
 ip access-group BLOCK_ECHO_REQUEST_TO_VLAN20_IN in
!
interface FastEthernet0/0.5
 description OTHERS VLAN
 ip access-group BLOCK_ECHO_REQUEST_TO_VLAN20_IN in
!

在除 VLAN 10 之外的每个 VLAN 上，我们都会丢弃发往 VLAN 20 的入站回显请求。 VLAN 20 仍然可以向所有其他 VLAN 发送回显请求，其他 VLAN 仍然可以将回显回复发送回 VLAN 20。

其它你可能感兴趣的问题

上一篇日志中的传入与传出方向下一篇Catalyst 4500-X 上的 NetFlow 配置